排序方式: 共有21条查询结果,搜索用时 15 毫秒
1.
目的研究NTFS存储设备的3种数据恢复方式,测试、比较不同方式的恢复效果,促进电子物证检验工作。方法本文针对同一NTFS存储设备,分别使自行设计的NTFS日志检验软件测试基于NTFS日志文件的恢复方式,使用Final Data的快速扫描功能测试基于MFT记录的恢复方式,使用Final Data的完整扫描功能测试基于文件头部存储特征值的恢复方式,比较3种方式的恢复效果,分析各自的恢复原理。结果基于NTFS日志和MFT记录的方式恢复出的信息较全,用时较短,但不适合恢复较长时间之前删除的文件。基于文件头部存储特征值的方式可恢复较长时间前删除的文件,但用时长,不能恢复文件名、创建时间等信息,也不能有效恢复离散存储的文件。结论结合实际情况、综合运用3种方式可有效恢复数据。 相似文献
2.
利用僵尸网络实施的DDOS攻击对我国互联网安全构成严重威胁,海量僵尸程序会窃取用户计算机中的敏感信息,对个人信息安全也造成严重危害。研究表明,目前DDOS攻击的主要趋势是利用慢速攻击对互联网业务系统实施精准打击,利用物联网反射攻击对目标网络发起大流量冲击。在DDOS攻击检测方面,基于DNS流量的攻击检测技术可以全面刻画僵尸主机的分布状况,阻断僵尸主机与控制服务器的连接通道是目前最为有效的检测技术,基于流量近源清洗和CDN加速的防御措施是现阶段最为有效的DDOS攻击流量分流化解机制。提出了一种基于网络数据包捕获的DGA算法破解方法,应用这种方法可以快速定位DGA算法核心代码,进而提高DGA算法的破解效率。 相似文献
3.
无线Wi-Fi环境内“中间人”攻击线索难以获取,攻击者主机IP地址提取难度较大。针对这一问题,提出一种基于特殊构造ARP请求报文探测“混杂”模式主机IP地址的新方法。该方法通过扫描无线Wi-Fi网络环境内全部网络设备地址信息,对每台网络设备发送特殊构造的ARP请求报文,该报文目的MAC地址为当前无线Wi-Fi环境内不存在的地址信息。只有极少数处于“混杂”模式的攻击者主机会响应此类报文,进而获取到“中间人”攻击者主机IP地址信息。实验结果表明,该方法可准确获取“中间人”攻击者IP地址信息。 相似文献
4.
针对电子数据取证中RAID5磁盘阵列重组问题,提出一种基于$UpCase元文件的RAID5磁盘阵列重组方法。公安机关在办理涉服务器案件时,经常会遇到犯罪嫌疑人蓄意破坏、异常关闭服务器等情况,若服务器采用RAID5磁盘阵列存储数据,这些破坏行为会造成阵列配置信息丢失,公安机关在进行取证前必须对磁盘阵列进行数据重组。介绍了在对未知磁盘序列的RAID5磁盘阵列进行取证分析时,通过$UpCase元文件的特点,确定磁盘阵列中数据条带大小,并归纳总结了利用MBR、DBR及条带大小等已知信息计算$MFT元文件在成员盘中起始位置的方法,通过数据块与校验块的位置确定磁盘次序,实现磁盘重组,进而读取数据完成取证分析。该方法通过$UpCase元文件判断数据块信息,再利用计算结果快速定位$MFT元文件,与现有方法相比,能够大幅度节省全盘搜索时间,提升数据重组效率。 相似文献
5.
目前,办案人员主要采用静态分析和动态分析法对盗号木马进行取证分析,获取网络入侵痕迹,但是现有取证方法较为繁琐,对办案人员专业知识水平要求较高,且获取的入侵痕迹不够全面。针对上述问题,采用通信流量分析法对盗号木马进行取证分析,以使用FTP协议的Hawk Eye keylogger盗号木马为例,通过细致分析木马与外界的通信数据流,根据其连接建立过程,还原盗取的用户隐私信息,确定黑客控制端IP地址、端口号等入侵线索。实验结果表明,与现有取证方法相比,该方法能够全面、快速、准确获取盗号木马相关痕迹信息,灵活性较高,既能对常规盗号木马(通常采用SMTP协议和HTTP协议)进行分析,又能对使用FTP协议的新型盗号木马进行深入取证,符合公安一线工作需求。 相似文献
6.
从涉案Linux主机中提取出被删除的数据文件,恢复出短信内容、发送次数和发送时长对公安机关调查利用"伪基站"实施的犯罪案件有重要意义。目前"伪基站"案件使用的计算机均安装Linux操作系统,嫌疑人通常会定期删除Linux主机中遗留的涉案痕迹。结合实际案例研究了"伪基站"的常规检验方法,结合电子数据取证软件winhex研究了GSMS类型伪基站删除数据文件的手工提取方法,最后通过一个实例介绍了残缺短信的提取方法。经过大量测试证明应用课题组提出的检验方法可以准确提取GSMS类型伪基站中"未删除"和"删除"数据。 相似文献
7.
8.
盗号木马对信息网络安全构成严重威胁,研究盗号木马的线索调查方法对公安机关的侦查、办案工作有重要意义。借助协议分析软件sniffer研究了盗号木马的线索调查方法;首先介绍了该方法的使用环境和使用步骤;研究了通过ESMTP和HTTP协议传送窃取信息的通信流程,结合实例分析了ESMTP和HTTP木马产生的网络数据包,详细介绍了如何从这两类通信数据中提取出黑客的相关线索。 相似文献
9.
“存储式”XSS挂马攻击调查方法研究 总被引:1,自引:1,他引:0
提出的调查方法是在受害者主机端重新浏览可疑网页,同时使用sniffer等协议分析软件截获数据包,再对捕获数据进行分析,确定是否存在XSS挂马攻击,同时提取出攻击痕迹.该方法可以准确判断是否存在XSS挂马攻击,提取出攻击者遗留的IP地址、用户名等痕迹信息 相似文献
10.
远程控制木马对信息网络安全构成严重威胁,研究远程控制木马的取证方法对公安机关的侦查、办案工作有重要意义。提出了一种基于网络数据还原的远程控制木马取证分析方法。以pcshare木马为例研究了从通信数据中还原键盘记录信息和语音聊天文件的具体方法,应用提出的取证方法可以获得木马存在的直接证据,进而确定攻击行为,提取出攻击者的IP地址和使用的端口号。 相似文献